Privacy-ontwikkelingen in 2020

Het is Data Privacy Day vandaag. Een goede gelegenheid om terug te blikken op 2019 en vooruit te kijken naar 2020. Afgelopen jaar is veel gebeurd op het gebied van privacy- en gegevensbescherming. De Autoriteit Persoonsgegevens (AP) heeft, onder meer, haar boetebeleidsregels aangepast, banken erop gewezen betaalgegevens niet ‘zomaar’ te mogen gebruiken voor reclame en het HagaZiekenhuis beboet voor het niet op orde hebben van de interne beveiliging van patiëntendossiers. Verder heeft de CNIL een boete van 50 miljoen euro opgelegd aan Google LLC, is de Herziene Richtlijn Betaaldiensten (PSD2) ingegaan en is het Europees Parlement akkoord gegaan met een standaard certificering voor de veiligheid van Internet of Things-apparaten.  Wat kunnen we verwachten van 2020?  

Autoriteit Persoonsgegevens

De AP gaat de komende jaren drie focusgebieden aanhouden in haar toezicht, namelijk:

  • Datahandel
  • Digitale overheid; en
  • Artificiële intelligentie en algoritmes.  

Volgens de AP vallen onder deze focusgebieden ook: doorverkoop van data, behavioral advertising, smart cities en microtargeting bij verkiezingen en Internet of Things. Over dat laatste onderwerp schreef Aleid Wolfsen (vz. AP) in december een blog, wat aangeeft dat dit onderwerp in ieder geval duidelijk op het netvlies van de AP staat. De AP stelt dat zij risicogestuurd toezicht houdt, wat impliceert dat zij bij bovenstaande onderwerpen inschat dat daar de grootste risico’s zullen zijn voor betrokkenen de komende jaren.

Europese Wetgeving

ePrivacy Verordening

Het doel van de ePrivacy Verordening is het reguleren van privacy in het kader van elektronische communicatie, waaronder het beschermen van metadata van elektronische communicatie. De nieuwe Verordening is onder meer van belang omdat de scope wordt uitgebreid naar onder andere applicaties als WhatsApp en Internet-of-Things-apparaten. Verder bevat het concept nieuwe regels over het plaatsen van cookies en het vragen van toestemming daarvoor, waardoor veel organisaties hun website en het verzamelen van gebruikersdata zullen moeten herzien.

Het laatste tekstvoorstel is aan het einde van 2019 door het Comité van Permanente Vertegenwoordigers (COREPER) weggestemd. Op 21 januari heeft het Kroatische voorzitterschap van de Raad van de EU aangegeven dat zij voort zullen borduren op het werk van het Finse presidentschap en dat zij in februari 2020 met een aangepast tekstvoorstel zullen komen. 

Europese AI-regulering

Het Witte Huis heeft Europa verzocht om geen vergaande wetgeving in te zetten voor de regulering van artificiële intelligentie (AI). Na de aanstelling van Ursula von der Leyen als voorzitter van de EC heeft zij, in tegenstelling tot dat verzoek, als doel gesteld om binnen 100 dagen Europese wetgeving te presenteren die de menselijke en ethische implicaties van AI zal reguleren. 100 dagen zijn ondertussen voorbij zonder een voorstel, maar de EC heeft wel aangegeven dat zij op 19 februari “Proposals developing the European approach to Artificial Intelligence” publiceert. Met dat voorstel kunnen we concreter zien hoe de EC de regulering van AI voor zich ziet.  

In aanloop naar het voorstel toe is een draft voor een white paper van de EC gelekt en gepubliceerd door Politico. In deze draft worden vijf mogelijke opties geformuleerd voor ‘possible regulatory options’. Naar aanleiding van de draft reageren instanties ietwat paniekerig, omdat één van de genoemde mogelijkheden het verbieden van gezichtsherkenning in de openbare ruimte voor een periode van 3 à 5 jaar is. Een essentiële aantekening is dat de EC duidelijk aangeeft dat deze optie niet de voorkeur geniet voor toekomstige AI-regulering. De EC spreekt wel een voorkeur uit voor een combinatie van de volgende opties:

  • Verplichtingen voor developers en users van AI, als de inzet van AI een hoog risico met zich meebrengt.;
  • Verbeteringen van EU-wetgeving omtrent veiligheid en aansprakelijkheid, om leemtes in gerelateerde wetgeving ongedaan te maken; en
  • De verplichting voor lidstaten om een toezichthoudende autoriteit in te stellen voor het monitoren en handhaven van AI-regulering.
  • Wat betreft dit laatste punt lijkt de AP voor zichzelf een belangrijke rol te zien in het toezicht op AI in Nederland. De AP geeft in voornoemd focusdocument aan dat zij verantwoordelijk is voor toezicht op AI en algoritmes waarin persoonsgegevens worden gebruikt.

Aanpassingen uAVG en evaluatie AVG 

In oktober 2019 presenteerde minister Dekker in een Kamerbrief een overzicht van de onderwerpen waarop een wijziging van de UAVG zal worden voorbereid. In de brief staat onder andere een explicietere grondslag voor het gebruik van biometrische gegevens voor de identificatie van personen. Verder zijn enkele onderwerpen in overleg bij het kabinet om aan te passen, waaronder een adequate grondslag voor profilering door banken ter voorkoming van fraude en cross-sectorale gegevensdeling ter bestrijding van fraude.

Daarnaast noemt minister Dekker enkele onderwerpen die niet via wetgeving, maar op een andere manier moeten worden aangepakt. Voorbeelden zijn de aansprakelijkheid voor privacy gerelateerde schade, het doorbelasten van AP-boetes, en wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote bestaande datasets in relatie tot het toestemmingsvereiste. In 2020 verwacht het kabinet een wijzigingsvoorstel.

De EC bereidt op grond van art. 97 AVG een evaluatie van de AVG voor. In het kader van die evaluatie heeft Nederland input gegeven over o.a.: de registerplicht voor kleine bedrijven, vermijden van extraterritoriale werking van nationale uitvoeringswetten en het ontwikkelen van een standaardformulier voor het melden van datalekken. De EC publiceert voor 25 mei 2020 een evaluatie verslag.

Schrems II

Eind vorig jaar heeft advocaat-generaal (AG) Saugmandsgaard Øe zijn opinie gegeven in de zaak Schrems II. Zie hier voor ons gedetailleerd verslag. Deze zaak gaat over de Europese overeenkomsten modelcontractbepalingen (SCC’s) waarmee EU organisaties data kunnen delen met landen buiten de EU. In de zaak Schrems II betoogt Schrems dat deze modelcontracten niet voldoende passende waarborgen bieden om data door te geven naar buiten de EU.  

De belangrijkste punten uit de opinie van de AG zijn:

  • De SCC’s op zichzelf zijn een voldoende middel om op legitieme wijze persoonsgegevens door te geven aan organisaties buiten de EU/EER;
  • De SCC’s verhinderen autoriteiten van buiten de EU/EER niet om regels op te leggen die strijdig zijn met het besluit 2010/87; en
  • Verwerkingsverantwoordelijken en toezichthouders hebben een verantwoordelijkheid om actiever toezicht te houden op de doorgifte van persoonsgegevens buiten de EU/EER op basis van deze SCC’s. 
  • Als het Hof de opinie van de AG volgt, dan zal het laatste punt ervoor zorgen dat verantwoordelijken en toezichthouders actief moeten monitoren of de bescherming van persoonsgegevens wel gewaarborgd is, ondanks het sluiten van SCC’s.

Tot slot

Considerati kan uw organisatie ondersteuning bieden op al bovenstaande onderwerpen. Heeft u vragen over een privacy ontwikkeling in 2020, wilt u met ons een gesprek om te zien hoe wij uw organisatie kunnen ondersteunen, neem dan vrijblijvend contact met ons op.   

Ka Wing Falkena Legal Consultant